Publiée en 2005, la norme internationale ISO 27001 pose le cadre de référence permettant d’établir le système de management de la sécurité de l’information (SMSI). Cette norme traite la sécurité par le prisme de la gestion des risques qui pèsent sur vos données, autour d’un concept simple qui tient en une phrase : « prévenir plutôt que guérir ». Allons voir cela de plus près.
ISO 27001, LA NORME INTERNATIONALE DE LA GESTION DES RISQUES CYBER
Qu’est-ce que la norme ISO 27001 ?
La norme ISO 27001 a été publiée en 2005 et révisée en 2013, puis en 2022. Elle a été élaborée par le système spécialisé de la normalisation mondiale que sont l’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale). Vous comprenez alors pourquoi elle est également connue sous le sigle ISO/IEC 27001:2022.
Cette norme internationale de référence fournit un cadre à l’organisation pour l’aider à mettre en œuvre, maintenir et améliorer en continu le SMSI de l’entreprise. Son objectif ? Mettre en place les mesures de protection nécessaires au maintien de la confidentialité des informations de votre organisation, de leur disponibilité et de leur intégrité.
ISO 27001 est suffisamment générique pour s’adapter à tout type d’organisation, quelle que soit sa taille, sa nature ou son secteur d’activité.
Quels sont ses axes d’application ?
Cette norme traite ainsi la sécurité par la gestion des risques. Les 252 exigences de cette norme (rien que ça !) concernent notamment les domaines suivants :
- la protection des données à caractère personnel ;
- la gouvernance liée à la sécurité de l’information et la stratégie de gouvernance des données ;
- la sécurité des ressources matérielles (infrastructures, réseaux et systèmes informatiques) ;
- les ressources humaines (organisation et responsabilité du personnel, politique de sécurité, sensibilisation…) ;
- la sécurité physique (accès aux bâtiments ou à l’infrastructure informatique) ;
- le développement et la maintenance de systèmes et de logiciels ;
- la continuité d’activité (PCA, PRA…).
Une entreprise qui applique correctement l’ensemble des exigences de la norme ISO 27001 peut se faire certifier par un auditeur qualifié.
Pourquoi a-t-elle été mise en place ?
De manière générale, avant ce texte, les organisations appliquaient des mesures de sécurité en réponse à des incidents, mais elles ne se dotaient pas d’un outil d’évaluation permettant de définir des exigences dans le maintien opérationnel et sécuritaire de leur SI.
En définissant des exigences de sécurité permettant de répondre aux menaces d’intrusion, de perte, de vol ou encore d’altération de vos données, elle est considérée avec la norme ISO 27035 (Gestion des incidents de sécurité de l’information) comme une référence en matière de management de la sécurité de l’information.